Microsoft Entra ID 프로비전에 대해 알려진 문제
이 문서에서는 앱 프로비전 또는 테넌트 간 동기화를 사용할 때 알고 있어야 하는 알려진 문제에 대해 설명합니다. UserVoice의 애플리케이션 프로비전 서비스에 대한 피드백을 제공하려면 Microsoft Entra 애플리케이션 프로비전 UserVoice를 참조하세요. Microsoft에서는 서비스를 개선할 수 있도록 UserVoice를 면밀하게 모니터링하고 있습니다.
참고 항목
이 문서가 알려진 문제에 대한 포괄적인 목록이 아닙니다. 나열되지 않은 문제를 알고 있는 경우 페이지의 맨 아래에 피드백을 제공하세요.
테넌트 간 동기화
지원되지 않는 동기화 시나리오
- 그룹, 디바이스 및 연락처를 다른 테넌트와 동기화
- 클라우드 간에 사용자 동기화
- 테넌트 간에 사진 동기화
- 연락처 동기화 및 연락처를 B2B 사용자로 변환
- 테넌트 간 회의실 동기화
프록시 주소 업데이트
ProxyAddresses는 Microsoft Graph의 읽기 전용 속성입니다. 매핑에 원본 특성으로 포함될 수 있지만 대상 특성으로 설정할 수는 없습니다.
사용자 프로비전
원본(홈) 테넌트의 외부 사용자를 다른 테넌트로 프로비전할 수 없습니다. 원본 테넌트의 내부 게스트 사용자를 다른 테넌트로 프로비전할 수 없습니다. 원본 테넌트의 내부 멤버 사용자만 대상 테넌트로 프로비전할 수 있습니다. 자세한 내용은 Microsoft Entra B2B 협업 사용자의 속성을 참조하세요.
또한 SMS 로그인을 사용하도록 설정된 사용자는 테넌트 간 동기화를 통해 동기화할 수 없습니다.
showInAddressList 속성 업데이트 실패
기존 B2B 협업 사용자의 경우, B2B 협업 사용자가 대상 테넌트에서 사서함을 사용 설정하지 않는 한 showInAddressList 특성이 업데이트됩니다. 대상 테넌트에서 사서함을 사용하도록 설정한 경우 Set-MailUser PowerShell cmdlet을 사용하여 HiddenFromAddressListsEnabled 속성을 $false 값으로 설정합니다.
Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false
여기서 [GuestUserUPN]은 계산된 UserPrincipalName입니다. 예시:
Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false
자세한 내용은 Exchange Online PowerShell 모듈 정보를 참조하세요.
대상 테넌트에서 동기화 구성
대상 테넌트에서 동기화를 구성하는 것은 지원되지 않습니다. 모든 구성은 원본 테넌트에서 수행해야 합니다. 대상 관리자는 언제든지 테넌트 간 동기화를 끌 수 있습니다.
원본 테넌트의 두 사용자가 대상 테넌트의 동일한 사용자와 일치
원본 테넌트의 두 사용자가 동일한 메일을 가지고 있고 두 사용자를 모두 대상 테넌트에서 만들어야 하는 경우 대상에서 한 사용자가 만들어진 후 원본의 두 사용자에 연결됩니다. 메일 특성이 원본 테넌트의 사용자 간에 공유되지 않는지 확인하세요. 또한 원본 테넌트의 사용자 메일을 확인된 도메인에서 가져온 것인지 확인하세요. 확인되지 않은 도메인에서 가져온 메일인 경우 외부 사용자가 성공적으로 만들어지지 않습니다.
테넌트 간 액세스를 위한 Microsoft Entra B2B 협업 사용
- B2B 사용자는 디렉터리 선택기가 없기 때문에 원격 테넌트에서 특정 Microsoft 365 서비스(예: Exchange Online)를 관리할 수 없습니다.
- B2B 사용자를 위한 Azure Virtual Desktop 지원에 대해 알아보려면 Azure Virtual Desktop 필수 구성 요소를 참조하세요.
- 외부 멤버 사용자에 대한 Power BI 지원에 대한 최신 상태는 Microsoft Entra B2B를 사용하여 외부 게스트 사용자에게 Power BI 콘텐츠 배포를 참조하세요.
권한 부여
프로비전 모드를 수동으로 다시 변경할 수 없음
프로비전을 처음 구성하면 프로비저닝 모드가 수동에서 자동으로 전환되었음을 알 수 있습니다. 다시 수동으로 변경할 수 없습니다. 그러나 UI를 통해 프로비저닝을 해제할 수 있습니다. UI에서 프로비저닝을 해제하는 것은 드롭다운을 수동으로 설정하는 것과 동일합니다.
특성 매핑
SamAccountName 또는 userType 특성을 원본 특성으로 사용할 수 없음
SamAccountName 및 userType 특성은 원본 특성으로 사용할 수 없습니다. 대신 디렉터리 확장 특성을 해결 방법으로 사용할 수 있습니다. 자세한 내용은 누락된 원본 특성을 참조하세요.
스키마 확장에 대한 원본 특성 드롭다운이 없음
때로는 UI의 원본 특성 드롭다운에서 스키마에 대한 확장이 누락될 수 있습니다. 특성 매핑의 고급 설정으로 이동하여 특성을 수동으로 추가합니다. 자세한 내용은 특성 매핑 사용자 지정을 참조하세요.
Null 특성을 프로비전할 수 없음
Microsoft Entra ID는 현재 null 특성을 프로비전할 수 없습니다. 사용자 개체의 특성이 null이면 건너뜁니다.
조인 속성에서는 특수 문자가 지원되지 않습니다.
Microsoft Entra ID는 현재 특수 문자를 포함하는 값에 대한 필터 쿼리를 수행할 수 없습니다. 따라서 필터 특성에 특수 문자가 있는 리소스(사용자 또는 그룹)에 대한 프로비저닝 시도가 실패합니다. 예를 들어 이름에 특수 문자가 있는 그룹은 Microsoft Entra ID에서 만들 수 있지만 대상 시스템과 동기화할 수는 없습니다.
특성 매핑 식의 최대 문자 수
특성 매핑 식에는 최대 10,000자를 사용할 수 있습니다.
지원되지 않는 범위 지정 필터
appRoleAssignments, userType, manager 및 date-type 특성(예: StatusHireDate, startDate, endDate, StatusTerminationDate, accountExpires) 범위 지정 필터로 지원되지 않습니다.
OtherMails는 특성 매핑에 대상 특성으로 포함되어서는 안 됩니다.
otherMails 속성은 대상 테넌트에서 자동으로 계산됩니다. 대상 테넌트에서 직접 사용자 개체를 변경하면 otherMails 속성이 업데이트되고 테넌트 간 동기화로 설정된 값이 재정의될 수 있습니다. 결과적으로 otherMails는 테넌트 간 동기화 특성 매핑에 대상 특성으로 포함되어서는 안 됩니다.
다중값 디렉터리 확장
특성 매핑 또는 범위 지정 필터에는 다중값 디렉터리 확장을 사용할 수 없습니다.
특성 targetAddress를 선택할 수 없음
targetAddress 특성(Microsoft Exchange Online의 ExternalEmailAddress 속성에 매핑됨)은 선택할 수 있는 특성으로 사용할 수 없습니다. 이 특성을 변경해야 하는 경우 필수 개체에 대해 수동으로 변경해야 합니다.
서비스 문제
지원되지 않는 시나리오
- 암호 프로비저닝은 지원되지 않습니다.
- 첫 번째 수준을 넘어서는 중첩 그룹 프로비전은 지원되지 않습니다.
- 테넌트 내부 또는 외부를 포함하여 B2C 테넌트에 대해서는 프로비전이 지원되지 않습니다.
- 테넌트 내부 또는 외부를 포함하여 외부 ID 테넌트에 대해서는 프로비전이 지원되지 않습니다.
- 모든 클라우드에서 모든 프로비저닝 앱을 사용할 수 있는 것은 아닙니다.
내 OIDC 기반 애플리케이션에서 자동 프로비저닝을 사용할 수 없음
앱 등록을 만드는 경우 엔터프라이즈 앱의 해당 서비스 주체는 자동 사용자 프로비저닝을 사용하도록 설정되지 않습니다. 여러 조직에서 앱을 사용하려는 경우 갤러리에 앱을 추가하도록 요청하거나 프로비저닝을 위한 두 번째 비 갤러리 앱을 만들어야 합니다.
관리자가 프로비저닝되지 않음
사용자 및 해당 관리자가 둘 다 프로비저닝 범위에 있는 경우 서비스에서 사용자를 프로비저닝한 다음, 관리자를 업데이트합니다. 사용자가 범위 내에 있고 관리자가 범위를 벗어난 경우 관리자 참조 없이 사용자를 프로비저닝합니다. 관리자가 범위 내에 들어오면 프로비저닝을 다시 시작하고 서비스가 모든 사용자를 다시 평가할 때까지 관리자 참조가 업데이트되지 않습니다.
프로비전 간격이 고정되어 있음
프로비저닝 주기 사이의 시간은 현재 구성할 수 없습니다.
변경 내용이 대상 앱에서 Microsoft Entra ID로 이동되지 않습니다.
앱 프로비저닝 서비스는 외부 앱에서 변경한 내용을 인식하지 못합니다. 따라서 롤백 동작이 수행되지 않습니다. 앱 프로비전 서비스는 Microsoft Entra ID의 변경 내용에 의존합니다.
모두 동기화에서 할당된 항목 동기화로 전환이 작동하지 않음
모두 동기화에서 할당된 항목 동기화로 범위를 변경한 후에는 다시 시작을 수행하여 변경 내용이 적용되도록 해야 합니다. UI에서 다시 시작할 수 있습니다.
프로비저닝 주기가 완료될 때까지 계속됨
프로비저닝 enabled = off
를 설정하거나 중지를 선택하면 현재 프로비저닝 주기가 완료될 때까지 계속 실행됩니다. 서비스는 프로비저닝을 설정할 때까지 이후 주기의 실행을 중지합니다.
그룹의 멤버가 프로비전되지 않음
그룹이 범위 내에 있고 멤버가 범위를 벗어난 경우 그룹은 프로비저닝됩니다. 범위를 벗어난 사용자는 프로비저닝되지 않습니다. 멤버가 다시 범위 내에 들어오면 서비스가 즉시 변경 내용을 검색하지 않습니다. 프로비저닝을 다시 시작하면 문제가 해결됩니다. 정기적으로 서비스를 다시 시작하여 모든 사용자가 적절히 프로비저닝되도록 하는 것이 좋습니다.
전역 읽기 권한자
전역 읽기 권한자 역할에서 프로비전 구성을 읽을 수 없습니다. Microsoft Entra 관리 센터에서 프로비전 구성을 읽도록 microsoft.directory/applications/synchronization/standard/read
권한이 있는 사용자 지정 역할을 만듭니다.
Microsoft Azure Government 클라우드
비밀 토큰, 알림 메일 및 SSO 인증서 알림 메일을 포함하는 자격 증명은 Microsoft Azure Government 클라우드에서 1KB로 제한됩니다.
온-프레미스 애플리케이션 프로비저닝
이는 Microsoft Entra ECMA 커넥터 호스트 및 온-프레미스 애플리케이션 프로비전에 대해 알려진 제한 사항의 현재 목록입니다.
애플리케이션 및 디렉터리
다음 애플리케이션 및 디렉터리는 아직 지원되지 않습니다.
Active Directory Domain Services(온-프레미스 프로비전 미리 보기를 사용하여 Microsoft Entra ID에서 사용자 또는 그룹 쓰기 저장)
- 사용자가 Microsoft Entra Connect로 관리되는 경우 권한 원본은 온-프레미스 Active Directory Domain Services입니다. 따라서 Microsoft Entra ID에서는 사용자 특성을 변경할 수 없습니다. 이 미리 보기는 Microsoft Entra Connect에서 관리하는 사용자의 권한 원본을 변경하지 않습니다.
- 그룹 또는 사용자를 Active Directory Domain Services에 프로비전하기 위해 Microsoft Entra Connect 및 온-프레미스 프로비전을 사용하려고 시도하면 루프가 만들어질 수 있으며, 여기서 Microsoft Entra Connect는 클라우드의 프로비전 서비스에서 변경한 사항을 덮어쓸 수 있습니다. Microsoft는 그룹 또는 사용자 쓰기 저장을 위한 전용 기능을 개발하고 있습니다. 이 웹 사이트에서 UserVoice 피드백에 찬성하여 미리 보기의 상태를 추적합니다. 또는 Microsoft Entra ID에서 Active Directory로 사용자 또는 그룹 쓰기 저장을 위해 Microsoft Identity Manager를 사용할 수 있습니다.
Microsoft Entra ID
온-프레미스 프로비전을 사용하면 이미 Microsoft Entra ID에 있는 사용자를 가져와서 타사 애플리케이션에 프로비전할 수 있습니다. 타사 애플리케이션에서 사용자를 디렉터리로 가져올 수 없습니다. 고객은 네이티브 HR 통합인 Microsoft Entra Connect, Microsoft Identity Manager 또는 Microsoft Graph를 사용하여 사용자를 디렉터리로 불러와야 합니다.
특성 및 개체
다음 특성 및 개체는 지원되지 않습니다.
- 다중값 특성
- 참조 특성(예: 관리자)
- 그룹 -
- 복합 앵커(예: ObjectTypeName+UserName)
- "." 또는 "["와 같은 문자가 있는 특성
- 이진 특성.
- 온-프레미스 애플리케이션은 경우에 따라 Microsoft Entra ID와 페더레이션되지 않으며 로컬 암호가 필요합니다. 온-프레미스 프로비전 미리 보기는 암호 동기화를 지원하지 않습니다. 초기 일회성 암호를 프로비저닝할 수 있습니다. 로그에서 암호를 수정하려면 수정 기능을 사용하고 있는지 확인하세요. SQL 및 LDAP 커넥터에서는 애플리케이션에 대한 초기 호출에서 암호를 내보내지 않고 설정된 암호를 사용하여 두 번째 호출을 내보냅니다.
SSL 인증서
Microsoft Entra ECMA 커넥터 호스트에는 현재 Azure에서 신뢰할 수 있는 SSL 인증서나 사용할 프로비전 에이전트가 필요합니다. 인증서 제목은 Microsoft Entra ECMA 커넥터 호스트가 설치된 호스트 이름과 일치해야 합니다.
앵커 특성
Microsoft Entra ECMA 커넥터 호스트는 현재 앵커 특성 변경(이름 바꾸기) 또는 앵커를 형성하기 위해 여러 특성이 필요한 대상 시스템을 지원하지 않습니다.
특성 검색 및 매핑
대상 애플리케이션이 지원하는 특성은 Microsoft Entra 관리 센터의 특성 매핑에서 검색되고 표시됩니다. 새로 추가된 특성은 계속해서 검색됩니다. 예를 들어, 특성 유형이 문자열을 부울로 변경하고 해당 특성이 매핑의 일부인 경우 이 유형은 Microsoft Entra 관리 센터에서 자동으로 변경되지 않습니다. 고객이 매핑의 고급 설정으로 이동하여 특성 유형을 수동으로 업데이트해야 합니다.
프로비전 에이전트
- 해당 에이전트는 현재 온-프레미스 애플리케이션 프로비전 시나리오에 대한 자동 업데이트를 지원하지 않습니다. 이 격차를 해소하고 모든 고객이 기본적으로 자동 업데이트를 사용할 수 있도록 적극적으로 노력하고 있습니다.
- 온-프레미스 앱 프로비전 및 클라우드 동기화/HR 기반 프로비전에는 같은 프로비전 에이전트를 사용할 수 없습니다.